node中后台安全的防护_node 保证后端接口安全
赞
踩
node中后台安全的防护
在进行server端开发的过程中,有一个与前端管理很大的不同的地方就是在于要做好安全的防护。来防卫恶意的攻击,以此来保护数据的安全。因此首先来介绍一些常见的攻击后台的方式:
**在做服务器时,一定要注意安全问题。常见的安全问题有
sql注入: 窃取数据库中的内容
xss攻击: 窃取前端的cookie内容
对于server端的攻击方式非常多,预防的手段也非常的多,在这里使用的是node层面上的预防
有的攻击还需要硬件和服务来支持(需要OP支持),如 DDOS**
针对于上面的这些问题,我们目前只需要做的就是在node层面上即现在的server端处理上来完成所需要做的防护,即防sql注入与xss攻击。对于sql注入与xss攻击具体形式与预防措施如下:
sql注入:
攻击方式: 输入一个sql片段,最终拼接成一段攻击代码
预防措施:使用mysql中的escape函数处理输入内容即可
例如: 在输入用户名时,使用’ – 又或者是加上; delete from user – 加上这种sql片段注入的方式使用的方式是在mysql.js的文件中,导出escape: mysql.escape然后在controller的文件夹中涉及变量名的地方都加上escape,例如:
username = escape(username) 然后再去掉单引号即可
xss攻击:
攻击方式:在页面展示内容中参杂js代码,以获取网页信息
预防措施:转换生成js的特殊字符
在node中的处理方式 安装xssAPI来预防xss攻击 npm install xss --save
代码部分 首先使用 const xss = requie(‘xss’);
然后调用即可: const title = xss(blogData.title);
const content = xss(blogData.content);
常见的攻击手段:
上面所介绍的就是关于对于sql注入以及xss攻击的具体攻击形式与在node中如何去防护,在node中封装了一个API一个是escape函数来处理sql注入,其原理就是针对于不同的sql语句对其进行转义然后再去解释运行,最后达到防止sql注入的目的。另外一个预防xss攻击的方式就是使用第三方插件即xss,然后将数据先放入xss()中,然后再去使用,达到预防xss攻击的目的。
还需要做的一个防护就是进行加密处理,不得不去面临的一个问题就是当我们遇到数据库中的用户信息等被攻破后,不能直接将数据暴露出来,因此需要我们去做的就是使用加密手段,对有关于用户的信息进行加密具体的方式如下:
密码加密:
当数据库被攻破时,最不应该泄露的就是用户信息
攻击的方式:获取用户名和密码,再去尝试登录其他系统
预防措施:将密码加密,即使拿到密码也不知道明文
具体的实现方法:
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)
结尾
学习html5、css、javascript这些基础知识,学习的渠道很多,就不多说了,例如,一些其他的优秀博客。但是本人觉得看书也很必要,可以节省很多时间,常见的javascript的书,例如:javascript的高级程序设计,是每位前端工程师必不可少的一本书,边看边用,了解js的一些基本知识,基本上很全面了,如果有时间可以读一些,js性能相关的书籍,以及设计者模式,在实践中都会用的到。
时间可以读一些,js性能相关的书籍,以及设计者模式,在实践中都会用的到。
